KR20170109949A - 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 - Google Patents

동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 Download PDF

Info

Publication number
KR20170109949A
KR20170109949A KR1020160034211A KR20160034211A KR20170109949A KR 20170109949 A KR20170109949 A KR 20170109949A KR 1020160034211 A KR1020160034211 A KR 1020160034211A KR 20160034211 A KR20160034211 A KR 20160034211A KR 20170109949 A KR20170109949 A KR 20170109949A
Authority
KR
South Korea
Prior art keywords
network
information
traffic
forwarding
sdn
Prior art date
Application number
KR1020160034211A
Other languages
English (en)
Inventor
노성기
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160034211A priority Critical patent/KR20170109949A/ko
Publication of KR20170109949A publication Critical patent/KR20170109949A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

동적 네트워크 환경에서의 네트워크 보안 강화 장치 및 방법이 개시된다. 일 실시예에 따른 네트워크 보안 강화 장치는 네트워크 컨트롤러 및 복수의 네트워크 스위치를 포함한다. 네트워크 컨트롤러는 복수 개의 경로 정보 중에서 적용될 경로 정보를 경시적으로 변경하면서 현재 경로 정보를 해당 경로 상의 모든 네트워크 스위치로 전달한다. 그리고 복수의 네트워크 스위치 각각은 네트워크 컨트롤러로부터 전달받은 현재 경로 정보로 포워딩 테이블을 업데이트하면서 기존 경로 정보는 이력 테이블에 기록하여 관리하되, 요청 받은 트래픽의 포워딩 정보가 포워딩 테이블에 존재하지 않고 이력 테이블에 존재할 경우에는 요청 받은 트래픽을 의심 트래픽으로 분류하여 네트워크 컨트롤러로 전달한다. 이 경우에, 네트워크 컨트롤러는 의심 트래픽에 대하여 소정의 보안 조치를 취한다.

Description

동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치{Method and apparatus for enhancing network security in dynamic network environment}
본 발명은 네트워크 보안(network security) 기술에 관한 것으로, 보다 구체적으로 동적 네트워크 환경에서 네트워크 보안을 강화하기 위한 방법과 장치에 관한 것이다.
아이피(Internet Protocol, IP) 주소라는 간단한 통신 프로토콜에 기반한 인터넷은 접속 및 서비스 제공의 편의성으로 인하여 폭발적인 성장을 이루었다. 하지만, 인터넷에 있는 정보를 악의적으로 이용하는 사례가 늘고 또한 이에 따른 사회적, 경제적인 손실도 증가함에 따라서 인터넷에 대한 보안이 중요한 이슈로 자리잡게 되었다.
인터넷에 대한 보안을 강화하기 위하여 제안된 전통적인 방식은 경계 기반 보안 솔루션으로 불린다. 이의 일례로 방화벽이나 침입 탐지 시스템 등이 있는데, 외부 침입 차단이나 외부 유입 정보 내 악성 패턴 탐지 등의 기능을 제공한다. 하지만, 악의의 사용자가 IP 주소를 위변조하여 자신의 IP 주소를 속이는 IP 스푸핑 등을 통하여 내부자로 위장함으로써, 이러한 경계 기반 보안 솔루션을 우회 또는 무력화하는 것이 가능하다는 문제점은 여전히 존재한다.
이러한 문제점은 인터넷 구조가 정적 특성을 갖는 네트워크이기 때문에 발생한다. 즉, 기존의 인터넷 구조는 연결 정보 및 시스템 자체의 구성에 변화가 없으므로, 악의의 사용자들이 대상 시스템을 파악하고 이에 대한 취약점을 공격하는 것이 가능하다. 보다 구체적으로, 통상적으로 네트워크에 대한 공격은 정찰, 핑거프린팅, 네트워크 매핑, 조정, 공격, 보고 및 전파 등과 같은 다수의 단계에 걸쳐서 이루어진다. 그리고 효과적인 목표 달성을 위해서 각 단계에서는 사이버 인프라의 정적 특성에 의존하는데, 이에 의하면 다소 시간이 소요되더라도 원격으로 대상을 발견하고 소스에 대한 공격을 쉽게 할 수 있기 때문이다. 예를 들어, 정적 특성을 갖는 네트워크에서는 IP 주소, 포트 번호, 플랫폼 유형, 서비스와 패치 버전, 프로토콜 및 서비스 취약점과 심지어는 방화벽 규칙과 같은 네트워크 구성을 쉽게 파악할 수가 있으며 또한 네트워크 스캐닝 도구 등을 사용하여 공격 대상도 쉽게 발견할 수가 있다.
이러한 공격으로부터 네트워크를 보호하기 위하여 새로운 보안 솔루션에 대한 연구가 활발히 진행되고 있다. 그 중의 하나가 동적 망은닉(Moving Target Defense, MTD) 기술이다. MTD는 호스트의 IP 주소 및 포트 번호의 동적인 변경이나 다중 경로를 통한 정보의 흐름 등과 같은 동적 특성을 네트워크에 부여하는 네트워크 보호 기술이다. 이러한 동적 특성을 갖는 네트워크에서는 악의의 사용자가 특정 호스트를 공격하는 것에 대한 복잡도(complexity)와 불확실성(uncertainty) 및 비용(cost)을 증가시켜서 네트워크의 취약점을 발견하는 것을 어렵게 만든다.
하지만, MTD 기술이 적용된 네크워크 환경(이하, '동적 네트워크 환경'이라고 한다)에서도 악의의 사용자가 네트워크를 공격하여 침입하는 것을 근본적으로 차단할 수는 없으며, 단지 시간, 비용 및 성공 가능성의 측면에서 기존의 정적 네트워크에 비하여 악의의 사용자에게 불리할 뿐이다. 따라서 동적 네트워크 환경에서도 보안을 더욱 강화시킬 수 있는 방안이 필요하다.
한국공개특허 제2015-0110065호 미국공개특허 US 2015/0089566 A1
본 발명이 해결하고자 하는 하나의 과제는 동적 네트워크 환경에서 네트워크 보안을 강화하는 방법 및 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 다른 하나의 과제는 호스트의 아이피(IP) 주소 또는 라우팅 경로가 수시로 변경되는 네트워크 환경에서 악의의 사용자가 해당 네트워크를 해킹하는 것을 조기에 차단하거나 또는 예방할 수 있는 네트워크 보안 강화 방법과 장치를 제공하는 것이다.
상기한 과제를 해결하기 위한 본 발명의 일 실시예에 따른 동적 네트워크 환경에서의 네트워크 보안 강화 장치는 네트워크 컨트롤러 및 복수의 네트워크 스위치를 포함하고, 상기 네트워크 컨트롤러는 복수 개의 경로 정보 중에서 적용될 경로 정보를 경시적으로 변경하면서 현재 경로 정보를 해당 경로 상의 모든 네트워크 스위치로 전달하고, 상기 복수의 네트워크 스위치 각각은 상기 네트워크 컨트롤러로부터 전달받은 현재 경로 정보로 포워딩 테이블을 업데이트하면서 기존 경로 정보는 이력 테이블에 기록하여 관리하되, 요청 받은 트래픽의 포워딩 정보가 상기 포워딩 테이블에 존재하지 않고 상기 이력 테이블에 존재할 경우에는 상기 요청 받은 트래픽을 의심 트래픽으로 분류하여 상기 네트워크 컨트롤러로 전달하며, 상기 네트워크 컨트롤러는 상기 네트워크 스위치로부터 전달받은 상기 의심 트래픽에 대하여 소정의 보안 조치를 취한다.
상기 실시예의 일 측면에 의하면, 상기 네트워크 보안 강화 장치는 특정 트래픽의 소스에 대한 감시 및 추적을 실시하는 정책 위반 트래픽 탐지기를 더 포함하고, 상기 소정의 보안 조치는 상기 정책 위반 트래픽 탐지기에게 상기 의심 트래픽에 대한 감시 및 추적을 요청하는 것을 포함할 수 있다. 그리고 상기 소정의 보안 조치는 상기 의심 트래픽과 관련된 패킷 플로우에 대하여 상기 네트워크 스위치가 취할 액션을 설정하는 것을 포함할 수 있다.
상기 실시예의 다른 측면에 의하면, 상기 네트워크 스위치는 요청 받은 트래픽의 포워딩 정보가 상기 포워딩 테이블에 존재하는 경우에는 정상적인 포워딩 액션을 수행할 수 있다.
상기 실시예의 또 다른 측면에 의하면, 상기 네트워크 컨트롤러는 소프트웨어 정의 네트워크(Software Defined Network, SDN) 컨트롤러를 포함하고, 상기 네트워크 스위치는 SDN 스위치를 포함할 수 있다. 그리고 상기 복수 개의 경로 정보는 동적 경로 설정 및 제어(Random Route Mutation, RRM) 기법에 따라서 생성된 출발지 주소와 목적지 주소 사이의 다중 경로에 관한 정보를 포함하고, 상기 현재 경로 정보는 상기 다중 경로 중에서 상기 SDN 컨트롤러에 의하여 선택된 경로의 라우팅 정보를 포함할 수 있다. 또는, 상기 복수 개의 경로 정보는 네트워크 호스트 변형(Random Host Mutation, RHM) 기법에 따라서 생성된 목적지 호스트에 대한 복수 개의 가상 주소 정보를 포함하고, 상기 현재 경로 정보는 상기 복수 개의 가상 주소 정보 중에서 상기 SDN 컨트롤러에 의하여 선택된 가상 주소 정보를 포함할 수 있다.
상기한 과제를 해결하기 위한 본 발명의 다른 실시예는 복수 개의 경로 정보 중에서 적용될 경로 정보가 경시적으로 변경되는 동적 네트워크 환경에서의 네트워크 보안 강화 방법으로서, 상기 복수 개의 경로 정보 중에서 현재 경로 정보를 네트워크 컨트롤러로부터 수신하는 단계, 상기 네트워크 컨트롤러로부터 전달받은 현재 경로 정보로 포워딩 테이블을 업데이트하면서 기존 경로 정보는 이력 테이블에 기록하는 단계, 요청 받은 트래픽의 포워딩 정보가 상기 포워딩 테이블에 존재하지 않지만 상기 이력 테이블에 존재하는지 판단하는 단계 및 상기 포워딩 정보가 상기 포워딩 테이블에 존해하지 않고 상기 이력 테이블에 존재하는 것으로 판단되는 경우에, 상기 요청 받은 트래픽을 상기 네트워크 컨트롤러로 전달하는 단계를 포함할 수 있다.
상기 실시예의 일 측면에 의하면, 상기 네트워크 보안 강화 방법은 상기 네트워크 컨트롤러가 전달받은 상기 트래픽에 대하여 소정의 보안 조치를 취하는 단계를 더 포함할 수 있다. 그리고 상기 소정의 보안 조치는 상기 트래픽에 대한 감시 및 추적을 수행하는 것을 포함할 수 있다. 또한, 상기 소정의 보안 조치를 취하는 단계에서는 상기 트래픽과 관련된 패킷 플로우에 대하여 취할 액션을 설정하는 것을 포함할 수 있다.
상기 실시예의 다른 측면에 의하면, 상기 네트워크 보안 강화 방법은 요청 받은 상기 트래픽의 포워딩 정보가 상기 포워딩 테이블에 존재하는 경우에는 정상적인 포워딩 액션을 수행하는 단계를 포함할 수 있다.
상기 실시예의 또 다른 측면에 의하면, 상기 네트워크 컨트롤러는 소프트웨어 정의 네트워크(Software Defined Network, SDN) 컨트롤러를 포함할 수 있다. 그리고 상기 복수 개의 경로 정보는 동적 경로 설정 및 제어(Random Route Mutation, RRM) 기법에 따라서 생성된 출발지 주소와 목적지 주소 사이의 다중 경로에 관한 정보를 포함하고, 상기 현재 경로 정보는 상기 다중 경로 중에서 상기 SDN 컨트롤러에 의하여 선택된 경로의 라우팅 정보를 포함할 수 있다. 또는, 상기 복수 개의 경로 정보는 네트워크 호스트 변형(Random Host Mutation, NHM) 기법에 따라서 생성된 목적지 호스트에 대한 복수 개의 가상 주소 정보를 포함하고, 상기 현재 경로 정보는 상기 복수 개의 가상 주소 정보 중에서 상기 SDN 컨트롤러에 의하여 선택된 가상 주소 정보를 포함할 수 있다.
전술한 본 발명의 실시예에 의하면, 현재의 인터넷에서 큰 문제로 지적되고 있는 네트워크 정보 노출에 대한 보안 문제를 해결하기 위하여 기본적으로 동적 은닉 기술을 적용함으로써 일차적으로 보안 강화를 이룰 수가 있다. 아울러, 이러한 동적 은닉 기술을 적용한 네트워크에서 RRM 기법이나 RHM 기법 등과 같은 정책 설정에 기초한 이력 관리만을 통해서도 의심 트래픽이나 이상 트래픽을 손쉽게 파악하여 추적 및 차단을 할 수가 있기 때문에, 네트워크 보안을 보다 강화시킬 수가 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 보안 강화 장치의 개략적인 구성과 네트워크 보안 강화 방법의 개략적인 시나리오를 설명하기 위한 도면이다.
도 2a는 RRM 기법이 적용된 네트워크에서의 본 발명의 일 실시예에 따른 네트워크 보안 강화 방법을 구체적으로 보여 주는 흐름도이다.
도 2b는 도 2a의 방법이 적용되는 네트워크의 구성의 일례를 도식적으로 보여 주는 도면이다.
도 3a는 RHM 기법이 적용된 네트워크에서 본 발명의 일 실시예에 따른 네트워크 보안 강화 방법을 구체적으로 보여 주는 흐름도이다.
도 3b는 도 3a의 방법이 적용되는 네트워크의 구성의 일례를 도식적으로 보여 주는 도면이다.
이하 첨부된 도면을 참조하여 실시예들을 보다 상세히 설명한다. 그러나 이러한 도면은 기술적 사상의 내용과 범위를 쉽게 설명하기 위한 예시일 뿐, 이에 의해 기술적 범위가 한정되거나 변경되는 것은 아니다. 그리고 이러한 예시에 기초하여 기술적 사상의 범위 안에서 다양한 변형과 변경이 가능함은 통상의 기술자에게는 당연할 것이다. 또한, 본 명세서에서 사용되는 용어 및 단어들은 실시예에서의 기능을 고려하여 선택된 용어들로서, 그 용어의 의미는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 따라서 후술하는 실시예들에서 사용된 용어는, 본 명세서에 구체적으로 정의된 경우에는 그 정의에 따르며, 구체적인 정의가 없는 경우는 통상의 기술자들이 일반적으로 인식하는 의미로 해석되어야 할 것이다.
후술하는 본 발명의 실시예에 따른 네트워크 보안 강화 장치와 방법은 동적 망은닉(Moving Target Defense, MTD) 기술이 적용된 네크워크 환경(이하, '동적 네트워크 환경'이라고 한다)에서 적용될 수 있는 기술이다. 동적 네트워크 환경이란 호스트의 IP 주소 및 포트 번호의 동적인 변경이나 다중 경로를 통한 정보의 흐름 등과 같은 동적 특성이 네트워크에 부여되는 것을 가리킨다. 동적 네트워크 환경에서는 악의의 사용자가 특정 호스트를 공격하거나 정보를 탈취하려는 것에 대한 복잡도, 불확실성, 비용(cost)이 증가되어 해당 네트워크 보안이 강화될 수 있다.
MTD 기술의 대표적인 예로 임의 동적 경로 설정 및 제어(Random Route Mutation, RRM) 기법과 네트워크 호스트 변형(Random Host Mutation, RHM) 기법이 있다. RRM 기법은 네트워크에서 경로를 변경 또는 다중화하는 것에 의하면 네트워크 스위치에서의 라우팅 정보 등을 시간의 경과에 따라서 변경함으로써 공격에 대응하는 기술로서, 네트워크에서 고정된 경로가 긴 시간 동안 사용될 경우에 도청이나 감청 및 공격에 취약한 단점을 보완할 수 있다. 그리고 RHM 기법은 네트워크에서 호스트의 아이피(IP) 주소 및 포트 정보(이하, '주소 정보'라고 한다)를 시간의 경과에 따라서 변경함으로써 공격에 대응하는 기술로서, 특정 호스트가 고정된 주소 정보를 긴 시간 동안 사용할 경우에는 스캐닝 기반에 의한 공격에 취약한데, 이러한 단점을 보완할 수 있다.
RRM 기법을 이용하면 네트워크 스위치에서의 라우팅 정보가 수시로 변경되고 또한 RHM 기법을 이용하면 호스트의 주소 정보가 가상의 주소일 뿐만 아니라 수시로 변경될 수 있다. 이러한 RRM 기법에서의 라우팅 정보나 RHM 기법에서의 호스트의 주소 정보는 통상적으로 주기적으로 변경되나 필요에 따라서 임의로 변경될 수도 있다. RRM 기법이나 RHM 기법을 이용하면 라우팅 정보나 주소 정보 등과 같은 '경로 정보'가 수시로 변경되므로, 스캐닝을 통한 호스트에 대한 정보 수집을 어렵게 할 수 있으며 특정 트래픽이나 특정 주소에 대한 지속적인 접근도 차단할 수가 있다.
따라서 동적 네트워크 환경에서 경로 정보(즉, 라우팅 정보나 주소 정보)는 적용 시점에만 유효하며, RRM 기법에 의하여 새로운 라우팅 정보로 변경되거나 또는 RHM 기법에 의하여 호스트의 주소가 새로운 주소 정보로 변경된 이후에는 이전에 사용되었던 라우팅 정보나 주소 정보는 사용되어서는 안되는 정보이다. 그럼에도 불구하고 만약 특정 트래픽에서 이전에 설정된 라우팅 정보나 주소 정보가 사용된다면, 이것은 해당 네트워크에 대한 공격 등으로 의심할 수가 있다. 그리고 네트워크 보안을 위해서는 이러한 공격의 근원지에 대한 심층 분석 등을 통하여 악의의 사용자에 의한 공격으로 판단되면 필요한 조치를 취할 필요가 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 보안 강화 장치의 개략적인 구성과 네트워크 보안 강화 방법의 개략적인 시나리오를 설명하기 위한 도면이다. 도 1에서는 네트워크 구성의 일례로 사용자가 인터넷을 통하여 데이터 센터(data center)의 서버에 접속하는 경우를 예시적으로 도시하였으며, 공격자는 지속적으로 해당 네트워크에 대한 공격을 감행하여 정보를 탈취하려고 한다. 그리고 도 1에서는 RRM 기법에 의하여 인터넷에서의 경로가 제1 경로(PI), 제2 경로(PII)와 제3 경로(PIII) 중에서 어느 하나로 시간의 경과에 따라서 변경되거나 또는 RHM 기법에 의하여 데이터 센터의 서버의 주소가 실제 주소(D)가 아닌 가상 주소(C)-이 가상 주소(C)는 시간의 경과에 따라서 변경될 수 있다-가 사용되는 것으로 도시되어 있다.
그리고 도 1에 도시된 동적 네트워크 환경은 소프트웨어 정의 네트워크(Software Defined Network, SDN)에서 RRM 기법이나 RHM 기법이 적용된 경우이나, 이것은 단지 예시적인 것이다. 동적 네트워크 환경은 네트워크 컨트롤러에 의하여 경로 정보, 즉 네트워크 스위치의 라우팅 정보나 호스트의 주소 정보가 경시적으로 변경될 수 있는 네트워크이면 SDN에 한정되지 않고 다른 네트워크도 해당될 수 있다. 다만, 최근에 SDN 기술의 발전으로 SDN 컨트롤러(controller)를 통한 동적 네트워크 경로 설정 및 제어가 기존의 네트워크 컨트롤러에 비하여 유연하게 구현하는 것이 가능하게 되어서, 다른 네트워크에 비하여 SDN 네트워크에서 RRM 기법이나 RHM 기법을 적용하기가 용이하다. 도 1에 도시된 바와 같이, SDN 네트워크에서는 RRM 기법이나 RHM 기법은 SDN 컨트롤러 내에 SDN 어플리케이션(application)의 형태로 구현될 수 있다.
도 1을 참조하면, 네트워크 보안 강화 장치는 SDN 컨트롤러(10), SDN 스위치(20a, 20b, 20c) 및 정책 위반 트래픽 탐지기(30)를 포함한다. SDN 컨트롤러(10)는 네트워크 컨트롤러의 일례이며, SDN 스위치(20a, 20b, 20c)는 네트워크 스위치의 일례이다. 따라서 SDN이 아니고 다른 유형의 동적 네트워크 환경에서 SDN 컨트롤러(10)과 SDN 스위치(20a, 20b, 20c)는 각각 다른 명칭으로 칭해질 수도 있다. 전술한 바와 같이, 동적 네트워크 환경을 구현할 수 있도록 SDN 컨트롤러(10)는 어플리케이션으로 RRM 응용(12)과 RHM 응용(14) 중에서 적어도 하나를 포함한다. 그리고 정책 위반 트래픽 탐지기(30)는 특정 트래픽(예컨대, SDN 컨트롤러(10)로부터 의심 트래픽으로 통지를 받은 트래픽)의 소스에 대한 감시 및 추적을 수행한다.
도 1에 도시된 동적 네트워크 환경에서 RRM을 위하여 SDN 컨트롤러(10)는 연결된 스위치로부터 받은 새로운 호스트(예컨대, 데이터 센터의 서버)의 정보를 RRM 응용(12)에게 전달한다. 그리고 호스트의 정보를 받은 RRM 응용(12)은 호스트가 향하는 목적지(즉, 데이터 센터의 서버에 연결된 사용자)까지의 동적 경로(제1 경로(PI), 제2 경로(PII) 및 제3 경로(PIII) 중에서 어느 하나의 경로로서 시간의 경과에 따라서 변경될 수 있음)를 생성한다. 특정 시점에 SDN 컨트롤러(10)는 선택된 하나의 경로와 관련된 룰들을 각각의 SDN 스위치(20a, 20b)에게 알려줌으로써, 사용자와 데이터 센터 사이의 통신이 가능하도록 한다. 여기서, SDN 스위치(20a, 20b)에게 알려주는 룰에는 해당 SDN 스위치에 의한 라우팅 정보를 포함한다. RRM 응용(12)에 의하여, 초기에 설정된 경로는 일정 시간이 지날 때마다 새로운 경로로 변경될 수 있으며, 경로의 변경이 있을 때마다 라우팅 정보를 포함한 룰이 SDN 스위치(20a, 20b)에게로 통지된다. 그리고 SDN 스위치(20a, 20b)는 변경된 라우팅 정보를 이력으로 관리한다. 이러한 RRM 응용(12)을 이용하는 본 발명의 일 실시예에 따른 네트워크 보안 강화 장치 및 방법에 대해서는 도 2a 및 도 2b를 참조하여 뒤에서 상세하게 설명한다.
RHM 응용(14)은 실제 IP 주소 대신에 가상의 IP 주소를 사용하고 또한 이를 경시적으로 변경하여 사용함으로써 특정 호스트의 주소 정보(예컨대, IP 주소 등)를 외부의 신뢰할 수 없는 네트워크 또는 주체(공격자)로부터 숨겨주는 역할을 한다. 이것은 해당 호스트가 실제로는 고정 IP를 가지고 있지만 신뢰할 수 없는 네트워크나 사용자와 연결될 경우에는 SDN 스위치(20a, 20b, 20c)가 주기적으로 또는 임의적으로 주소 정보(IP 주소 등)를 변경함으로써, 외부의 공격자가 내부의 호스트의 주소 정보를 파악하기 어렵게 하여 호스트 안전을 보장한다. 이를 위하여, 특정 호스트가 다른 호스트(목적지)와 통신을 하고자 할 때, 호스트가 최초로 보낸 패킷은 SDN 스위치(20a, 20b, 20c)를 통해서 SDN 컨트롤러(10)로 전달된다. 그리고 SDN 컨트롤러(10)는 해당 호스트의 정보를 저장한 다음, 자신이 관리하는 호스트 리스트에 해당 호스트를 추가한다. 이와 동시에, SDN 컨트롤러(10)는 해당 호스트를 위한 IP 집합(즉, 가상의 IP 주소 등과 같은 주소 정보)을 생성한다. 그리고 SDN 컨트롤러(10)는 IP 집합에서 하나를 무작위로 선택한 다음, 선택된 IP 주소를 포함한 주소 정보를 SDN 스위치(20a, 20b, 20c)에게로 알려주게 된다. 이 때, SDN 컨트롤러(10)는 해당 호스트에 인접한 SDN 스위치(20c)와 해당 호스트와 통신하는 목적지에 인접한 SDN 스위치(20a)에게로 선택된 주소 정보를 알려줄 수 있다. 그리고 전술한 과정, 즉 SDN 컨트롤러(10)가 새로운 IP 주소를 선택하고 또한 선택된 IP 주소를 포함한 주소 정보를 SDN 스위치(20a, 20b, 20c)에게로 알려주는 과정은 주기적으로 또는 필요에 따라서 반복해서 수행될 수 있다. 이 때, SDN 스위치(20a, 20b, 20c)는 주소 정보의 업데이트가 있을 때마다 최신의 주소 정보를 적용하여 패킷을 라우팅함과 동시에 이전의 주소 정보는 이력으로서 저장해 두고서 관리할 수 있다. 이러한 RHM 응용(14)을 이용하는 본 발명의 일 실시예에 따른 네트워크 보안 강화 장치 및 방법에 대해서는 도 3a 및 도 3b를 참조하여 뒤에서 상세하게 설명한다.
도 2a는 본 발명의 일 실시예에 따른 동적 네트워크 환경에서의 네트워크 보안 강화 방법을 구체적으로 보여 주는 흐름도이고, 도 2b는 도 2a의 방법이 적용되는 동적 네트워크 환경의 일례를 도식적으로 보여 주는 도면이다. 도 2a 및 도 2b는 동적 네트워크 환경의 일례로서 RRM 기법이 적용된 SDN의 경우이다. 그리고 도 2b에서는 RRM 응용(12)이 SDN 컨트롤러(10)와는 별개의 구성 요소인 것처럼 분리되어 도시되어 있으나, RRM 응용(12)이 SDN 컨트롤러(10)의 일 어플리케이션으로 구현될 수 있다는 것은 전술한 바와 같다.
도 2a 및 도 2b를 참조하면, 우선 SDN 컨트롤러(10)의 RRM 응용(12)은 사용자(S)와 목적지(D) 사이의 K개의 경로를 생성하여 관리한다(S101). 여기서, K는 2이상의 정수로서, 네트워크 보안 강화 장치에 의하여 미리 설정되어 있는 고정된 값이거나 또는 제반 사정을 고려하여 적응적으로 결정될 수 있는 값일 수 있다. 그리고 경로를 생성하는 시점은 SDN 스위치(SW1, SW2, SW3, SW4)의 상태 변경에 의한 경로 변경 요청이 있는 시점이거나 및/또는 RRM 응용(12)의 주기적인 타이머의 동작에 따른 시점이 될 수 있다. 경로 생성 요청이 있거나 또는 타이머의 시간이 만료된 경우에, RRM 응용(12)은 특정 출발지(S)의 주소에서 목적지(D)의 주소까지 복수 개의 경로(즉, 다중 경로)를 생성한다. 이를 위하여, RRM 응용(12)은 그래프 정보, 출발지(S)의 주소 정보, 목적지(D)의 주소 정보, 생성할 경로의 개수인 K의 값 등을 입력 받아서 이를 기반으로 미리 설정된 소정의 알고리즘에 따라서 K개의 다중 경로를 생성한다.
그리고 SDN 컨트롤러(10)의 RRM 응용(12)은 생성된 다중 경로 중에서 어느 하나의 경로를 선택하며, SDN 컨트롤러(10)는 선택된 경로의 라우팅 정보를 경로 상의 모든 SDN 스위치(SW1, SW2, SW3, SW4)에게 전달한다(S102). 여기서, RRM 응용(12)에 의하여 선택되는 경로는 주기적으로(예컨대, 설정된 타이머의 시간이 완료될 때마다) 또는 네트워크 관리 등을 위하여 필요한 경우에는 임의로 변경 또는 업데이트될 수 있다. 그리고 선택된 경로의 라우팅 정보는 소정의 포맷을 갖는 메시지(SDN의 경우에는 OPENFLOW 메시지(FLOW_MOD))를 이용하여 각 SDN 스위치(SW1, SW2, SW3, SW4)로 전달될 수 있다.
그리고 새로운 라우팅 정보를 전달받은 SDN 스위치(SW1, SW2, SW3, SW4)는 현재의 라우팅 정보로 포워딩 테이블을 업데이트하고 또한 이전의 라우팅 정보는 이력 테이블에 저장한다(S103). 여기서, 포워딩 테이블과 이력 테이블은 SDN 스위치(SW1, SW2, SW3, SW4)가 현재 또는 과거의 라우팅 정보를 저장하고 관리하는 수단을 나타내기 위하여 사용된 명칭으로서, 다른 명칭의 테이블이나 또는 테이블이 아닌 다른 포맷이 사용될 수 있다는 것은 자명하다. 그리고 이력 테이블에 저장되는 이전 또는 과거의 라우팅 정보의 개수에 대해서 특별한 제한이 없으며, 미리 설정된 고정된 값이 되거나 또는 임의적으로 또는 주기적으로 변경될 수 있는 값일 수 있다.
계속해서 특정한 호스트(예컨대, 목적지(D))로의 트래픽에 대한 포워딩을 요청 받은 SDN 스위치(SW1, SW2, SW3, SW4)는 해당 트래픽의 포워딩 정보가 포워딩 테이블에 존재하는지, 즉 포워딩 테이블에 저장되어 있는 현재의 라우팅 정보와 일치하는지를 판단한다(S104). 판단 결과 해당 트래픽의 포워딩 정보가 포워딩 테이블에 존재하는 경우에는, 요청에 따라서 정상적으로 포워딩 액션을 수행한다(S105).
반면, 단계 S104에서의 판단 결과 해당 트래픽의 포워딩 정보가 포워딩 테이블에 존재하지 않는 경우에는, 해당 트래픽의 포워딩 정보가 이력 테이블에 존재하는지를 판단한다(S106). 즉, 해당 트래픽의 포워딩 정보가 이력 테이블에 저장되어 있는 이전의 라우팅 정보들 중의 어느 하나와 일치하는지를 판단한다. 판단 결과 해당 트래픽의 포워딩 정보가 이력 테이블에도 존재하지 않는 경우에는, 미등록 트래픽 또는 비정상적인 트래픽에 대한 기존의 처리 방법과 동일한 방법으로 처리를 한다(S107).
반면, 단계 S106에서의 판단 결과 해당 트래픽의 정보가 이력 테이블에 존재하는 경우에는, SDN 스위치(SW1, SW2, SW3, SW4)는 해당 트래픽을 의심 트래픽으로 분류하여 SDN 컨트롤러(10)로 전송한다(S108). 즉, 본 발명의 실시예에 의하면, 요청을 받은 특정 트래픽의 포워딩 정보가 다중 경로 중에서 현재 선택된 경로가 아니라 과거에 선택된 경로에 따른 라우팅 정보와 일치하는 경우(이 경우에 포워딩 정보는 포워딩 테이블에 존재하지 않고 이력 테이블에 존재하게 된다)에는 일단 공격자에 의한 요청일 수도 있다고 판단하고 의심 트래픽으로 분류한다. 그리고 SDN 스위치(SW1, SW2, SW3, SW4)는 의심 트래픽으로 분류된 요청 트래픽을 SDN 컨트롤러(10)로 전송한다. 또한, SDN 스위치(SW1, SW2, SW3, SW4)는 필요할 경우에는 플로우 전보 분석을 위한 통계 수집을 시작할 수도 있다.
계속해서 SDN 스위치(SW1, SW2, SW3, SW4)로부터 의심 트래픽으로 분류된 트래픽을 수신한 SDN 컨트롤러(10)는 해당 트래픽의 플로우 정보를 정책 위반 정보로 판단하여 SDN 스위치(SW1, SW2, SW3, SW4)에 해당 플로우에 대해서 취해야 하는 액션을 추가로 설정할 수 있다. 이러한 추가로 설정되는 액션 중의 하나는 허니팟으로 해당 트래픽을 리다이렉션하는 것일 수 있으나, 여기에만 한정되는 것은 아니다. 그리고 SDN 컨트롤러(10)는 정책 위반 트래픽 탐지기(30)에 요청하여 해당 트래픽의 소스(정체)에 대한 감시 및 추적이 수행되도록 한다(S109). 이 경우에, 정책 위반 트래픽 탐지기(30)는 해당 플로우 정보 및 SDN 스위치(SW1, SW2, SW3, SW4)에서 저장하는 플로우 통계 정보를 전송 받아서 심층 분석 작업을 개시한다.
도 3a는 본 발명의 다른 실시예에 따른 동적 네트워크 환경에서의 네트워크 보안 강화 방법을 구체적으로 보여 주는 흐름도이고, 도 3b는 도 3a의 방법이 적용되는 동적 네트워크 환경의 일례를 도식적으로 보여 주는 도면이다. 도 3a 및 도 3b는 동적 네트워크 환경의 일례로서 RHM 기법이 적용된 SDN의 경우이다. 그리고 도 3b에서는 RHM 응용(14)이 SDN 컨트롤러(10)와는 별개의 구성 요소인 것처럼 분리되어 도시되어 있으나, RHM 응용(14)이 SDN 컨트롤러(10)의 일 어플리케이션으로 구현될 수 있다는 것은 전술한 바와 같다.
도 3a 및 도 3b를 참조하면, 우선 SDN 컨트롤러(10)의 RHM 응용(14)은 특정 호스트의 IP 주소, 예컨대 목적지(D)로 표시된 서버의 IP 주소에 대하여 K개의 가상 주소를 생성하여 관리한다(S201). 여기서, K는 2이상의 정수로서, 네트워크 보안 강화 장치에 의하여 미리 설정되어 있는 고정된 값이거나 또는 제반 사정을 고려하여 적응적으로 결정될 수 있는 값일 수 있다. 그리고 가상 주소를 생성하는 시점은 SDN 스위치(SW1, SW2, SW3)의 상태 변경에 의한 가상 주소 생성 요청이 있는 시점이거나 및/또는 RHM 응용(14)의 주기적인 타이머의 동작에 따른 시점이 될 수 있다. 가상 주소 생성 요청이 있거나 또는 타이머의 시간이 만료된 경우에, RHM 응용(14)은 목적지(D)의 실제 IP 주소에 대응하는 복수 개의 가상 IP 주소를 생성한다.
그리고 SDN 컨트롤러(10)의 RHM 응용(14)은 생성된 가상 주소 중에서 어느 하나의 가상 주소를 선택하며, SDN 컨트롤러(10)는 선택된 주소 정보를 경로 상의 모든 SDN 스위치(SW1, SW2, SW3)에게 전달한다(S202). 여기서, RHM 응용(14)에 의하여 선택되는 가상 주소는 주기적으로(예컨대, 설정된 타이머의 시간이 완료될 때마다) 또는 네트워크 관리 등을 위하여 필요한 경우에는 임의로 변경 또는 업데이트될 수 있다. 그리고 선택된 가상 주소 정보는 소정의 포맷을 갖는 메시지(SDN의 경우에는 OPENFLOW 메시지(FLOW_MOD))를 이용하여 각 SDN 스위치(SW1, SW2, SW3)로 전달될 수 있다.
그리고 새로운 가상 주소 정보를 전달받은 SDN 스위치(SW1, SW2, SW3)는 현재의 가상 주소 정보로 포워딩 테이블을 업데이트하고 또한 이전의 가상 주소 정보는 이력 테이블에 저장한다(S203). 여기서도, 포워딩 테이블과 이력 테이블은 SDN 스위치(SW1, SW2, SW3)가 현재 또는 과거의 주소 정보를 저장하고 관리하는 수단을 나타내기 위하여 사용된 명칭으로서, 다른 명칭의 테이블이나 또는 테이블이 아닌 다른 포맷이 사용될 수 있다는 것은 자명하다. 그리고 이력 테이블에 저장되는 이전 또는 과거의 가상 주소 정보의 개수에 대해서 특별한 제한이 없으며, 미리 설정된 고정된 값이 되거나 또는 임의적으로 또는 주기적으로 변경될 수 있는 값일 수 있다.
계속해서 특정한 호스트(예컨대, 목적지(D))로의 트래픽에 대한 포워딩을 요청 받은 SDN 스위치(SW1, SW2, SW3)는 해당 트래픽의 포워딩 정보가 포워딩 테이블에 존재하는지, 즉 포워딩 테이블에 저장되어 있는 현재의 가상 주소 정보와 일치하는지를 판단한다(S204). 판단 결과 해당 트래픽의 포워딩 정보가 포워딩 테이블에 존재하는 경우에는, 요청에 따라서 정상적으로 포워딩 액션을 수행한다(S205).
반면, 단계 S204에서의 판단 결과 해당 트래픽의 포워딩 정보가 포워딩 테이블에 존재하지 않는 경우에는, 해당 트래픽의 포워딩 정보가 이력 테이블에 존재하는지를 판단한다(S206). 즉, 해당 트래픽의 포워딩 정보가 이력 테이블에 저장되어 있는 이전의 가상 주소 정보들 중의 어느 하나와 일치하는지를 판단한다. 판단 결과 해당 트래픽의 포워딩 정보가 이력 테이블에도 존재하지 않는 경우에는, 미등록 트래픽 또는 비정상적인 트래픽에 대한 기존의 처리 방법과 동일한 방법으로 처리를 한다(S207).
반면, 단계 S206에서의 판단 결과 해당 트래픽의 정보가 이력 테이블에 존재하는 경우에는, SDN 스위치(SW1, SW2, SW3)는 해당 트래픽을 의심 트래픽으로 분류하여 SDN 컨트롤러(10)로 전송한다(S208). 즉, 본 발명의 실시예에 의하면, 요청을 받은 특정 트래픽의 포워딩 정보가 복수의 가상 주소 정보 중에서 현재 선택된 가상 주소가 아니라 과거에 선택된 가상 주소와 일치하는 경우(이 경우에 포워딩 정보는 포워딩 테이블에 존재하지 않고 이력 테이블에 존재하게 된다)에는 일단 공격자에 의한 요청일 수도 있다고 판단하고 의심 트래픽으로 분류한다. 그리고 SDN 스위치(SW1, SW2, SW3)는 의심 트래픽으로 분류된 요청 트래픽을 SDN 컨트롤러(10)로 전송한다. 또한, SDN 스위치(SW1, SW2, SW3)는 필요할 경우에는 플로우 전보 분석을 위한 통계 수집을 시작할 수도 있다.
계속해서 SDN 스위치(SW1, SW2, SW3)로부터 의심 트래픽으로 분류된 트래픽을 수신한 SDN 컨트롤러(10)는 해당 트래픽의 플로우 정보를 정책 위반 정보로 판단하여 SDN 스위치(SW1, SW2, SW3)에 해당 플로우에 대해서 취해야 하는 액션을 추가로 설정할 수 있다. 이러한 추가로 설정되는 액션 중의 하나는 허니팟으로 해당 트래픽을 리다이렉션하는 것일 수 있으나, 여기에만 한정되는 것은 아니다. 그리고 SDN 컨트롤러(10)는 정책 위반 트래픽 탐지기(30)에 요청하여 해당 트래픽의 소스(정체)에 대한 감시 및 추적이 수행되도록 한다(S209). 이 경우에, 정책 위반 트래픽 탐지기(30)는 해당 플로우 정보 및 SDN 스위치(SW1, SW2, SW3)에서 저장하는 플로우 통계 정보를 전송 받아서 심층 분석 작업을 개시한다.
이상의 설명은 실시예에 불과할 뿐, 이에 의하여 한정되는 것으로 해석되어서는 안된다. 본 발명의 기술 사상은 특허청구범위에 기재된 발명에 의해서만 특정되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다. 따라서 전술한 실시예가 다양한 형태로 변형되어 구현될 수 있다는 것은 통상의 기술자에게 자명하다.

Claims (15)

  1. 네트워크 컨트롤러 및 복수의 네트워크 스위치를 포함하고,
    상기 네트워크 컨트롤러는 복수 개의 경로 정보 중에서 적용될 경로 정보를 경시적으로 변경하면서 현재 경로 정보를 해당 경로 상의 모든 네트워크 스위치로 전달하고,
    상기 복수의 네트워크 스위치 각각은 상기 네트워크 컨트롤러로부터 전달받은 현재 경로 정보로 포워딩 테이블을 업데이트하면서 기존 경로 정보는 이력 테이블에 기록하여 관리하되, 요청 받은 트래픽의 포워딩 정보가 상기 포워딩 테이블에 존재하지 않고 상기 이력 테이블에 존재할 경우에는 상기 요청 받은 트래픽을 의심 트래픽으로 분류하여 상기 네트워크 컨트롤러로 전달하며,
    상기 네트워크 컨트롤러는 상기 네트워크 스위치로부터 전달받은 상기 의심 트래픽에 대하여 소정의 보안 조치를 취하는 것을 특징으로 하는 네트워크 보안 강화 장치.
  2. 제1항에 있어서,
    특정 트래픽의 소스에 대한 감시 및 추적을 실시하는 정책 위반 트래픽 탐지기를 더 포함하고,
    상기 소정의 보안 조치는 상기 정책 위반 트래픽 탐지기에게 상기 의심 트래픽에 대한 감시 및 추적을 요청하는 것을 포함하는 특징으로 하는 네트워크 보안 강화 장치.
  3. 제2항에 있어서,
    상기 소정의 보안 조치는 상기 의심 트래픽과 관련된 패킷 플로우에 대하여 상기 네트워크 스위치가 취할 액션을 설정하는 것을 포함하는 것을 특징으로 하는 네트워크 보안 강화 장치.
  4. 제1항에 있어서,
    상기 네트워크 스위치는 요청 받은 트래픽의 포워딩 정보가 상기 포워딩 테이블에 존재하는 경우에는 정상적인 포워딩 액션을 수행하는 것을 특징으로 하는 네트워크 보안 강화 장치.
  5. 제1항에 있어서,
    상기 네트워크 컨트롤러는 소프트웨어 정의 네트워크(Software Defined Network, SDN) 컨트롤러를 포함하고, 상기 네트워크 스위치는 SDN 스위치를 포함하는 것을 특징으로 하는 네트워크 보안 강화 장치.
  6. 제5항에 있어서,
    상기 복수 개의 경로 정보는 동적 경로 설정 및 제어(Random Route Mutation, RRM) 기법에 따라서 생성된 출발지 주소와 목적지 주소 사이의 다중 경로에 관한 정보를 포함하고,
    상기 현재 경로 정보는 상기 다중 경로 중에서 상기 SDN 컨트롤러에 의하여 선택된 경로의 라우팅 정보를 포함하는 것을 특징으로 하는 네트워크 보안 강화 장치.
  7. 제5항에 있어서,
    상기 복수 개의 경로 정보는 네트워크 호스트 변형(Random Host Mutation, RHM) 기법에 따라서 생성된 목적지 호스트에 대한 복수 개의 가상 주소 정보를 포함하고,
    상기 현재 경로 정보는 상기 복수 개의 가상 주소 정보 중에서 상기 SDN 컨트롤러에 의하여 선택된 가상 주소 정보를 포함하는 것을 특징으로 하는 네트워크 보안 강화 장치.
  8. 복수 개의 경로 정보 중에서 적용될 경로 정보가 경시적으로 변경되는 동적 네트워크 환경에서의 네트워크 보안 강화 방법에 있어서,
    상기 복수 개의 경로 정보 중에서 현재 경로 정보를 네트워크 컨트롤러로부터 수신하는 단계;
    상기 네트워크 컨트롤러로부터 전달받은 현재 경로 정보로 포워딩 테이블을 업데이트하면서 기존 경로 정보는 이력 테이블에 기록하는 단계;
    요청 받은 트래픽의 포워딩 정보가 상기 포워딩 테이블에 존재하지 않지만 상기 이력 테이블에 존재하는지 판단하는 단계; 및
    상기 포워딩 정보가 상기 포워딩 테이블에 존해하지 않고 상기 이력 테이블에 존재하는 것으로 판단되는 경우에, 상기 요청 받은 트래픽을 상기 네트워크 컨트롤러로 전달하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 강화 방법.
  9. 제8항에 있어서,
    상기 네트워크 컨트롤러가 전달받은 상기 트래픽에 대하여 소정의 보안 조치를 취하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 강화 방법.
  10. 제9항에 있어서,
    상기 소정의 보안 조치는 상기 트래픽에 대한 감시 및 추적을 수행하는 것을 포함하는 것을 특징으로 하는 네트워크 보안 강화 방법.
  11. 제10항에 있어서,
    상기 소정의 보안 조치를 취하는 단계에서는 상기 트래픽과 관련된 패킷 플로우에 대하여 취할 액션을 설정하는 것을 포함하는 것을 특징으로 하는 네트워크 보안 강화 방법.
  12. 제8항에 있어서,
    요청 받은 상기 트래픽의 포워딩 정보가 상기 포워딩 테이블에 존재하는 경우에는 정상적인 포워딩 액션을 수행하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 강화 방법.
  13. 제8항에 있어서,
    상기 네트워크 컨트롤러는 소프트웨어 정의 네트워크(Software Defined Network, SDN) 컨트롤러를 포함하는 것을 특징으로 하는 네트워크 보안 강화 방법.
  14. 제13항에 있어서,
    상기 복수 개의 경로 정보는 동적 경로 설정 및 제어(Random Route Mutation, RRM) 기법에 따라서 생성된 출발지 주소와 목적지 주소 사이의 다중 경로에 관한 정보를 포함하고,
    상기 현재 경로 정보는 상기 다중 경로 중에서 상기 SDN 컨트롤러에 의하여 선택된 경로의 라우팅 정보를 포함하는 것을 특징으로 하는 네트워크 보안 강화 방법.
  15. 제13항에 있어서,
    상기 복수 개의 경로 정보는 네트워크 호스트 변형(Random Host Mutation, NHM) 기법에 따라서 생성된 목적지 호스트에 대한 복수 개의 가상 주소 정보를 포함하고,
    상기 현재 경로 정보는 상기 복수 개의 가상 주소 정보 중에서 상기 SDN 컨트롤러에 의하여 선택된 가상 주소 정보를 포함하는 것을 특징으로 하는 네트워크 보안 강화 방법.
KR1020160034211A 2016-03-22 2016-03-22 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 KR20170109949A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160034211A KR20170109949A (ko) 2016-03-22 2016-03-22 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160034211A KR20170109949A (ko) 2016-03-22 2016-03-22 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20170109949A true KR20170109949A (ko) 2017-10-10

Family

ID=60189984

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160034211A KR20170109949A (ko) 2016-03-22 2016-03-22 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20170109949A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190053540A (ko) * 2017-11-10 2019-05-20 고려대학교 산학협력단 SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법
KR102184757B1 (ko) * 2019-11-28 2020-11-30 주식회사 스텔스솔루션 네트워크 은닉 시스템 및 방법
US11005887B2 (en) 2017-11-02 2021-05-11 Korea Advanced Institute Of Science And Technology Honeynet method, system and computer program for mitigating link flooding attacks of software defined network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11005887B2 (en) 2017-11-02 2021-05-11 Korea Advanced Institute Of Science And Technology Honeynet method, system and computer program for mitigating link flooding attacks of software defined network
KR20190053540A (ko) * 2017-11-10 2019-05-20 고려대학교 산학협력단 SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법
US10931711B2 (en) 2017-11-10 2021-02-23 Korea University Research And Business Foundation System of defending against HTTP DDoS attack based on SDN and method thereof
KR102184757B1 (ko) * 2019-11-28 2020-11-30 주식회사 스텔스솔루션 네트워크 은닉 시스템 및 방법

Similar Documents

Publication Publication Date Title
KR100663546B1 (ko) 악성 봇 대응 방법 및 그 시스템
US8661544B2 (en) Detecting botnets
JP5524737B2 (ja) 偽装されたネットワーク情報を検出する方法および装置
US9160761B2 (en) Selection of a countermeasure
KR101231975B1 (ko) 차단서버를 이용한 스푸핑 공격 방어방법
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US20200137112A1 (en) Detection and mitigation solution using honeypots
Aggarwal et al. Securing IoT devices using SDN and edge computing
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
US10397225B2 (en) System and method for network access control
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
KR101118398B1 (ko) 트래픽 방어 방법 및 장치
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
Kavisankar et al. Efficient syn spoofing detection and mitigation scheme for ddos attack
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法
KR100518119B1 (ko) 네트워크 기반의 보안 솔루션 시스템
Vidya et al. ARP storm detection and prevention measures
KR20110074028A (ko) 분산 서비스 거부 공격 생성 방지 장치
JP4084317B2 (ja) ワーム検出方法
Menten et al. Nobot: Embedded malware detection for endpoint devices
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof
KR20100071763A (ko) 분산서비스거부 공격 탐지 장치 및 그 방법
KR101236129B1 (ko) 비정상 트래픽 제어 장치 및 방법